KR100998418B1 - Methods for operating virtual networks, data network system, computer program and computer program product - Google Patents
Methods for operating virtual networks, data network system, computer program and computer program product Download PDFInfo
- Publication number
- KR100998418B1 KR100998418B1 KR1020087015037A KR20087015037A KR100998418B1 KR 100998418 B1 KR100998418 B1 KR 100998418B1 KR 1020087015037 A KR1020087015037 A KR 1020087015037A KR 20087015037 A KR20087015037 A KR 20087015037A KR 100998418 B1 KR100998418 B1 KR 100998418B1
- Authority
- KR
- South Korea
- Prior art keywords
- network
- virtual network
- virtual
- node
- port
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Description
본 발명은 제 1 가상화 태그에 할당된 네트워크 포트의 제 1 세트를 포함하는 제 1 가상 네트워크 및 제 2 가상화 태그에 할당된 네트워크 포트의 제 2 세트를 포함하는 제 2 가상 네트워크를 갖는 가상 네트워크로서, 제 1 및 제 2 가상 네트워크는 호환 가능한 어드레스 범위를 가지며 그 내에서 데이터 패킷을 단지 전송하는 가상 네트워크를 작동시키는 방법에 관한 것이다. 본 발명은 또한 데이터 네트워크 시스템, 컴퓨터 프로그램 및 본 발명의 방법을 수행하도록 채택된 컴퓨터 프로그램 제품에 관한 것이다.A virtual network having a first virtual network comprising a first set of network ports assigned to a first virtualization tag and a second virtual network comprising a second set of network ports assigned to a second virtualization tag, The first and second virtual networks relate to a method of operating a virtual network having a compatible address range and only transmitting data packets therein. The invention also relates to a data network system, a computer program and a computer program product adapted to carry out the method of the invention.
가상 네트워크는 물리적 네트워크, 특히, LAN(local area network)의 논리적 세그먼트이다. 예를 들어, 가상 LAN(virtual local area network : VLAN)은, 특히 VLAN 식별 태그를 포함하는 추가적인 패킷 헤더에 의해 통상적인 이더넷 표준안 IEEE 802.1을 확장하는 IEEE 802.lq 표준안에 기술되어 있다. IEEE 802.lq 표준안 과 단지 호환 가능한 스위치 및 다른 활성 네트워크 구성요소는 패킷 헤더에 포함된 것에 대응하는 VLAN 태그로 VLAN에 대해 구성되는 네트워크 포트를 통해 데이터 패킷을 단지 전송한다.A virtual network is a logical segment of a physical network, in particular a local area network (LAN). For example, a virtual local area network (VLAN) is described in the IEEE 802.lq standard, which extends the conventional Ethernet standard IEEE 802.1, in particular by an additional packet header containing a VLAN identification tag. Switches and other active network components that are only compatible with the IEEE 802.lq standard only transmit data packets through a network port configured for a VLAN with a VLAN tag corresponding to that contained in the packet header.
가상 네트워크는, 예를 들어, 인터넷과 같은 안전하지 않은 개방 네트워크 내에서 안전한 폐쇄 네트워크를 생성하는데 사용될 수 있다. 또한, 가상 네트워크는 데이터 패킷 간의 네트워크 충돌의 수를 감소시키는데 사용될 수 있으므로 네트워크 성능을 향상시킨다.The virtual network can be used to create a secure closed network within an insecure open network such as the Internet, for example. In addition, virtual networks can be used to reduce the number of network collisions between data packets, thereby improving network performance.
그러나, 이들 및 유사한 장점이 있는 목적을 성취하기 위해, 네트워크 노드, 예를 들어, 네트워크에 접속된 컴퓨터, 및 네트워크 설비, 예를 들어, 스위치는 적절하게 구성되어야 한다. 예를 들어, 컴퓨터는 가상 네트워크 내에서 유효하고 고유한 어드레스를 필요로 한다. 또한, 컴퓨터는, 예를 들어, 메일 또는 웹 서버와 같은 중요한 서비스 노드의 유효 어드레스로 구성되어야 한다. 스위치, 라우터 및 다른 네트워크 설비는, 특히, 적절한 가상 네트워크 포트 할당으로 구성될 필요가 있다. 이러한 구성 프로세스는 장황하고 에러가 발생하기 쉽다. However, in order to achieve these and similarly objective purposes, network nodes, for example computers connected to a network, and network equipment, for example switches, must be properly configured. For example, a computer needs a valid and unique address within a virtual network. In addition, the computer should be configured with the effective address of an important service node, for example a mail or web server. Switches, routers, and other network facilities, in particular, need to be configured with proper virtual network port assignments. This configuration process is verbose and error prone.
결과적으로, 네트워크 행정자(administrator)에 의해 실제로 단지 소수의 가상 네트워크가 구성된다. 또한, 네트워크 노드는 하나의 가상 네트워크로부터 다른 가상 네트워크로 거의 이동되지 않는다. 이것은, 예를 들어, 오동작하는 네트워크 노드를 분리하거나 또는 가상 네트워크를 조정하는 것을 네트워크 성능을 변경하는 가상 네트워크에 의해 달성될 수 있는 목적의 일부에 대조적이다.As a result, only a few virtual networks are actually configured by the network administrator. Also, network nodes are rarely moved from one virtual network to another. This is in contrast to some of the objectives that can be achieved, for example, by disconnecting a malfunctioning network node or adjusting a virtual network by a virtual network that alters network performance.
따라서, 가상 네트워크를 작동시키는 향상된 방법 및 데이터 네트워크 시스 템에 대한 필요성이 존재한다.Thus, there is a need for an improved method of operating a virtual network and a data network system.
발명의 개요Summary of the Invention
본 발명의 일 측면에 따르면, 가상 네트워크를 작동시키는 방법이 제공된다. 본 방법은 제 1 가상화 태그에 할당된 네트워크 포트의 제 1 세트를 포함하는제 1 가상 네트워크 및 제 2 가상화 태그에 할당된 네트워크 포트의 제 2 세트를 포함하는 제 2 가상 네트워크를 제공하는 단계로서, 상기 제 1 및 제 2 가상 네트워크는 호환 가능한 어드레스 범위를 가지며 그 내에서 데이터 패킷을 단지 전송하는 단계를 포함한다. 본 방법은 또한 상기 제 1 가상 네트워크 내에 소스 어드레스(source address : SA)를 가지며, 상기 제 1 가상화 태그에 의해 상기 제 1 가상 네트워크에 할당된 제 1 포트에 작동 가능하게 접속되는 제 1 네트워크 노드를 제공하는 단계와, 사전 결정된 상태를 검출하기 위해 상기 제 1 네트워크 노드를 모니터링하는 단계와, 상기 사전 결정된 상태의 검출 시에, 상기 제 1 가상화 태그에 의해 제 1 네트워크 노드로부터 상기 제 1 가상 네트워크에 할당된 제 2 포트에 접속된 제 2 네트워크 노드로 어떠한 데이터 패킷도 직접 전송될 수 없고, 상기 제 2 가상 네트워크 내의 제 1 네트워크 노드에 대한 소스 어드레스를 유지하도록, 상기 제 1 포트에 상기 제 2 가상화 태그를 할당하는 것에 의해, 상기 제 2 가상 네트워크에 상기 제 1 포트를 재할당하는 단계를 포함한다.According to one aspect of the invention, a method of operating a virtual network is provided. The method includes providing a first virtual network comprising a first set of network ports assigned to a first virtualization tag and a second virtual network comprising a second set of network ports assigned to a second virtualization tag, The first and second virtual networks have compatible address ranges and include only transmitting data packets therein. The method also includes a first network node having a source address (SA) in the first virtual network and operably connected to a first port assigned to the first virtual network by the first virtualization tag. Providing, monitoring the first network node to detect a predetermined state, and upon detection of the predetermined state, from the first network node to the first virtual network by the first virtualization tag. No second data packet can be sent directly to the second network node connected to the assigned second port, and the second virtualization on the first port to maintain the source address for the first network node in the second virtual network. Reallocating the first port to the second virtual network by assigning a tag.
제 2 가상화 태그를 주어진 제 1 포트에 할당함으로써,제 1 네트워크 노드는 제 1 가상 네트워크로부터 제 2 가상 네트워크로 이동될 수 있다. 제 1 및 제 2 가상 네트워크는 호환 가능한 어드레스 범위를 갖고 제 1 네트워크 노드의 네트워크 어드레스는 제 2 가상 네트워크에서 동일하게 유지되므로, 제 1 네트워크 노드를 제 1 가상 네트워크로부터 제 2 가상 네트워크로 이동하는 것은 제 1 네트워크 노드에 대해 투명하다. 그러므로, 제 1 네트워크 노드의 구성은 변경될 필요가 없다. 따라서, 예를 들어, 제 1 가상 네트워크로부터 제 1 네트워크 노드를 분리하기 위해 하나의 가상 네트워크로부터 다른 가상 네트워크로 네트워크 노드가 이동될 수 있다.By assigning a second virtualization tag to a given first port, the first network node can be moved from the first virtual network to the second virtual network. Since the first and second virtual networks have compatible address ranges and the network address of the first network node remains the same in the second virtual network, moving the first network node from the first virtual network to the second virtual network Transparent to the first network node. Therefore, the configuration of the first network node does not need to be changed. Thus, for example, a network node may be moved from one virtual network to another to separate the first network node from the first virtual network.
본 발명의 제 1 측면의 유용한 실시예에 따르면, 제 1 상태로부터 제 2 상태로의 상태 머신의 상태 천이에 의해 사전 결정된 상태가 주어지며, 상기 상태 머신의 각각의 상태는 가상화 태그로의 각각의 네트워크 포트의 할당과 연관된다.According to a useful embodiment of the first aspect of the invention, a predetermined state is given by a state transition of a state machine from a first state to a second state, each state of each state machine being assigned to a virtualized tag. Associated with the assignment of network ports.
사전 결정된 상태를 검출하는 상태 머신을 이용함으로써, 다수의 가상 네트워크의 구성이 생성되고 상태 머신의 상태와 연관될 수 있다. 예를 들어, 네트워크 고장 또는 네트워크 행정자 초기화 액션(administrator-initiated action)의 발생과 같은 이벤트(events)는 상태 천이 및 그에 따른 새로운 가상 네트워크의 구성을 트리거하는데 사용될 수 있다.By using a state machine to detect a predetermined state, configurations of multiple virtual networks can be created and associated with the state of the state machine. For example, events such as a network failure or the occurrence of a network administrator-initiated action can be used to trigger a state transition and thus the construction of a new virtual network.
본 발명의 제 2 측면에 따르면, 가상 네트워크를 작동시키는 방법이 제공된다. 본 방법은 제 1 가상화 태그에 할당된 네트워크 포트의 제 1 세트를 포함하는 제 1 가상 네트워크 및 제 2 가상화 태그 할당된 네트워크 포트의 제 2 세트를 포함하는 제 2 가상 네트워크를 제공하는 단계로서, 상기 제 1 및 제 2 가상 네트워크는 호환 가능한 어드레스 범위를 가지며 그 내에서 데이터 패킷을 단지 전송하는 단계를 포함한다. 본 발명은 또한 상기 제 1 가상화 태그에 의해 상기 제 1 가상 네트워크에 할당된 제 1 변환기 포트 및 상기 제 2 가상화 태그에 의해 상기 제 2 가상 네트워크에 할당된 제 2 변환기 포트에 작동 가능하게 접속되는 어드레스 변환기를 제공하는 단계와, 상기 제 2 가상 네트워크의 제 1 변환기 포트에 접속된 송신기 노드에 의해 목적지 어드레스(destination address : DA)를 갖는 패킷 헤더를 포함하는 데이터 패킷을 전송하는 단계와, 상기 송신기 포트에 의해 상기 제 2 가상화 태그로 상기 데이터 패킷을 마킹하는 단계와, 상기 패킷 헤더의 상기 목적지 어드레스(DA)를 갖는 목적지 노드가 상기 제 2 가상 네트워크 내에 포함되는지를 판정하는 단계와, 상기 목적지 노드가 상기 제 2 가상 네트워크 내에 포함되지 않는 것으로 판정하는 경우, 상기 어드레스 변환기를 통해, 상기 제 1 또는 제 2 가상화 태그헤 각각 할당된 상기 제 1 또는 제 2 변환기 포트에 데이터 패킷을 전송함으로써, 또 다른 프로세싱을 위해 상기 제 1 또는 제 2 가상 네트워크 내에 포함되는 수신기 노드로 상기 데이터 패킷을 리다이렉팅(redirecting)하는 단계를 포함한다.According to a second aspect of the invention, a method of operating a virtual network is provided. The method includes providing a first virtual network comprising a first set of network ports assigned to a first virtualized tag and a second virtual network comprising a second set of second virtualized tag assigned network ports. The first and second virtual networks have compatible address ranges and include only transmitting data packets therein. The invention also provides an address operably connected to a first translator port assigned to the first virtual network by the first virtualization tag and a second translator port assigned to the second virtual network by the second virtualization tag. Providing a translator, transmitting a data packet comprising a packet header having a destination address (DA) by a transmitter node connected to a first translator port of the second virtual network; Marking the data packet with the second virtualization tag, determining whether a destination node having the destination address (DA) of the packet header is included in the second virtual network; And if it is determined that it is not included in the second virtual network, Via the data packet to the first or second translator port assigned respectively to the first or second virtualized tag, thereby transmitting the data to a receiver node included in the first or second virtual network for further processing. Redirecting the packet.
각각의 가상 네트워크에서 네트워크 포트를 갖는 어드레스 변환기에 의해 제 1 및 제 2 가상 네트워크를 접속함으로써, 데이터 패킷은 하나의 가상 네트워크로부터 다른 가상 네트워크로 라우팅될 수 있다. 따라서, 제 2 네트워크에 위치하는 송신기 노드로부터 제 1 또는 제 2 가상 네트워크에 위치하는 수신기 노드로 데이터 패킷을 리다이렉팅하는 것이 가능하다. 이것은 특히, 송신기 노드가 제 1 가상 네트워크로부터 제 2 가상 네트워크로 이미 이동한 경우에, 변환기 노드로부터 수 신기 노드로의 요구를 성공적으로 응답하도록 허용한다.By connecting the first and second virtual networks by address translators with network ports in each virtual network, data packets can be routed from one virtual network to another. Thus, it is possible to redirect data packets from a transmitter node located in the second network to a receiver node located in the first or second virtual network. This allows for a successful response from the converter node to the receiver node, especially if the transmitter node has already moved from the first virtual network to the second virtual network.
본 발명의 제 2 측면의 바람직한 실시예에 따르면, 상기 수신기 노드는 상기 제 1 가상화 네트워크에 포함되며, 리다이렉팅하는 단계에서, 상기 패킷 헤더에 포함된 소스 어드레스는 상기 제 1 가상 네트워크 내의 상기 어드레스 변환기에 할당된 제 1 변환기 어드레스로 변경되고, 수정된 데이터 패킷은 상기 수신기 노드로의 전송을 위해 상기 제 1 변환기 포트에 전송된다.According to a preferred embodiment of the second aspect of the invention, the receiver node is included in the first virtualized network, and in the redirecting step, the source address included in the packet header is the address translator in the first virtual network. The modified data packet is sent to the first translator port for transmission to the receiver node.
패킷 헤더의 소스 어드레스를 변경함으로써, 제 2 가상 네트워크 내의 송신기 노드로부터 발신된다 하더라도, 제 1 변환기 포트로부터 송신되는 연관된 데이터 패킷이 제 1 가상 네트워크 내에서 유효한 채로 유지된다. 이러한 동작은, 예를 들어, 네트워크 어드레스 변환 디바이스에 의해 성취될 수 있다.By changing the source address of the packet header, the associated data packet sent from the first translator port remains valid within the first virtual network even if it originates from a transmitter node in the second virtual network. Such an operation can be accomplished by, for example, a network address translation device.
본 발명의 제 2 측면의 다른 바람직한 실시예에 따르면, 상기 수신기 노드 상기 제 2 가상화 네트워크에 포함되고, 수신기 어드레스를 가지며, 리다이렉팅하는 단계에서, 상기 패킷 헤더에 포함된 목적지 어드레스는 상기 수신기 어드레스로 변경되고, 상기 수정된 데이터 패킷은 상기 수신기 노드로의 전송을 위해 상기 제 2 변환기 포트에 전송된다.According to another preferred embodiment of the second aspect of the invention, the receiver node is included in the second virtualized network, has a receiver address, and redirects, wherein a destination address included in the packet header is directed to the receiver address. And the modified data packet is sent to the second translator port for transmission to the receiver node.
목적지 어드레스를 변경하고 제 2 가상 네트워크 내에서 변경된 데이터 패킷을 리다이렉팅함으로써, 송신기 노드로부터의 요구가 제 2 가상 네트워크에 투명하게 포함된 새로운 수신기 노드로 리다이렉팅될 수 있다.By changing the destination address and redirecting the changed data packet within the second virtual network, the request from the transmitter node can be redirected to a new receiver node transparently included in the second virtual network.
본 발명의 제 2 측면의 다른 바람직한 실시예에 따르면, 상기 수신기 노드는 애플리케이션 프로토콜에 고유한 프록시 노드이다.According to another preferred embodiment of the second aspect of the invention, the receiver node is a proxy node specific to the application protocol.
애플리케이션에 고유한 프록시 노드를 제공함으로써, 송신기 노드로부터 송신된 데이어 패킷 내에 포함된 요구가 원래의 목적기 어드레스 대신에 해당 프록시로 리다이렉팅될 수 있다. 이것은, 예를 들어, 제 1 가상 네트워크 내에서 발신되는 데이터 패킷과 상이하게 제 2 가상 네트워크 내에서 분리된 송신기 노드로부터 전송된 데이터 패킷을 취급하도록 허용한다.By providing a proxy node unique to the application, the requests contained in the data packet sent from the sender node can be redirected to that proxy instead of the original destination address. This allows, for example, to handle data packets sent from separate transmitter nodes in the second virtual network differently than data packets originating within the first virtual network.
본 발명의 제 3 측면에 따르면, 대응하는 가상화 태그에 의해 각각의 포트가 가상 네트워크에 할당되는 다수의 포트를 포함하는 스위치와, 상기 제 1 가상화 태그에 의해 상기 제 1 가상 네트워크에 할당된 스위치의 제 1 변환기 포트 및 상기 제 2 가상화 태그에 의해 상기 제 2 가상 네트워크에 할당된 스위치의 제 2 변환기 포트에 작동 가능하게 접속되는 어드레스 변환기와, 소스 어드레스(SA)를 가지며 상기 제 1 가상화 태그에 의해 상기 제 1 가상 네트워크에 할당된 제 1 포트에 작동 가능하게 접속되는 제 1 네트워크 노드를 포함하며, 본 발명의 제 1 측면에 따른 방법을 수행하는 데이터 네트워크 시스템이 제공된다.According to a third aspect of the invention, there is provided a switch comprising: a switch comprising a plurality of ports, each port being assigned to a virtual network by a corresponding virtualization tag, and a switch assigned to the first virtual network by the first virtualization tag. An address translator operatively connected to a second translator port of a switch assigned to the second virtual network by a first translator port and the second virtualized tag, and having a source address (SA) and by the first virtualized tag A data network system is provided, comprising a first network node operably connected to a first port assigned to the first virtual network, the method performing a method according to the first aspect of the invention.
제 1 및 제 2 가상 네트워크에 작동 가능하게 접속된 어드레스 변환기를 데이터 프로세싱 시스템에 제공함으로써, 제 1 네트워크 노드를 재구성할 필요 없이 제 1 가상 네트워크로부터 제 2 가상 네트워크로 제 1 네트워크 노드가 이동될 수 있다.By providing the data processing system with an address translator operably connected to the first and second virtual networks, the first network node can be moved from the first virtual network to the second virtual network without having to reconfigure the first network node. have.
본 발명의 제 3 측면의 바람직한 실시예에 따르면, 데이터 네트워크 시스템은 상기 제 1 가상 네트워크에 작동 가능하게 접속된 제 2 네트워크 노드 또는 상기 제 2 가상 네트워크에 작동 가능하게 접속된 제 3 네트워크 노드를 더 포함하 며, 본 발명의 제 2 측면에 따른 방법을 수행하도록 또한 채택된다.According to a preferred embodiment of the third aspect of the invention, the data network system further comprises a second network node operably connected to the first virtual network or a third network node operably connected to the second virtual network. It is also adapted to carry out the method according to the second aspect of the invention.
제 1 및 제 2 가상 네트워크에 제 2 또는 제 3 네트워크 노드를 제공함으로써, 제 1 가상 네트워크 내의 제 2 네트워크 노드 또는 제 2 가상 네트워크 내의 제 3 네트워크 노드로 제 1 네트워크 노드로부터 전송된 데이터 패킷이 리다이렉팅될 수 있다.By providing a second or third network node in the first and second virtual networks, data packets sent from the first network node to the second network node in the first virtual network or the third network node in the second virtual network are redirected. Can be lected.
본 발명의 제 4 측면에 따르면, 본 발명의 제 1 측면 또는 제 2 측면에 따른 방법의 모든 단계를 수행하는 프로그램 인스트럭션을 포함하는 컴퓨터 프로그램이 제공된다.According to a fourth aspect of the invention, there is provided a computer program comprising program instructions for performing all the steps of the method according to the first or second aspect of the invention.
본 발명의 제 5 측면에 따르면, 본 발명의 제 1 측면 또는 제 2 측면에 따른 방법의 모든 단계를 수행하는 적어도 하나의 프로세서에 의해 실행 가능한 프로그램 인스트럭션을 구현하는 컴퓨터 판독 가능한 매체를 포함하는 컴퓨터 프로그램 제품이 제공된다.According to a fifth aspect of the invention, a computer program comprising a computer readable medium embodying program instructions executable by at least one processor for performing all steps of the method according to the first or second aspect of the invention. Product is provided.
도면의 간단한 설명Brief description of the drawings
본 발명 및 그 실시예는 첨부되는 도면과 함께 취해지는 본 발명에 따른 바람직한 실시예로서 단지 예시적인 실시예의 후술하는 설명을 참조하여 보다 완전하게 이해될 것이다.The invention and its embodiments will be more fully understood with reference to the following description of exemplary embodiments only as preferred embodiments according to the invention taken in conjunction with the accompanying drawings.
도 1(a)는 제 1 및 제 2 가상 네트워크를 포함하는 개략적인 네트워크 셋업으로서, 제 1 네트워크 노드가 제 1 가상 네트워크에 포함되는 것을 도시하는 도면이고,FIG. 1A is a schematic network setup including first and second virtual networks, illustrating that a first network node is included in a first virtual network, and FIG.
도 1(b)는 제 1 및 제 2 가상 네트워크를 포함하는 개략적인 네트워크 셋업으로서, 제 1 네트워크 노드가 제 2 가상 네트워크에 포함되는 것을 도시하는 도면이며, FIG. 1B is a schematic network setup including first and second virtual networks, illustrating that a first network node is included in a second virtual network, and FIG.
도 2는 어드레스 변환기의 개략적인 내부 셋업을 도시하는 도면이고, 2 shows a schematic internal setup of an address translator,
도 3은 가상 네트워크 구성을 결정하는 유한 상태 머신의 개략적인 상태도이며,3 is a schematic state diagram of a finite state machine for determining a virtual network configuration,
도 4는 가상 네트워크를 작동시키는 제 1 방법의 실시예의 플로우차트이고,4 is a flowchart of an embodiment of a first method of operating a virtual network,
도 5는 가상 네트워크를 작동시키는 제 2 방법의 실시예의 플로우차트이다.5 is a flowchart of an embodiment of a second method of operating a virtual network.
도 1(a)는 제 1 가상 네트워크(103) 및 제 2 가상 에트워크(104)를 포함하는 개략적인 네트워크 셋업을 도시한다. 셋업은 스위치(100), 라우터(109) 및 어드레스 변환기(106)를 포함한다. 스위치(100)는 제 1 가상화 태그(T!)에 의해 제 1 가상 네트워크(103)에 또는 제 2 가상화 태그(T2)에 의해 제 2 가상 네트워크(104)에 할당될 수 있는 5개의 포트(P1, P2, P3, P4 및 P5)를 포함한다. 주어진 예에서, 네트워크 포트의 제 1 세트(101)는 제 1 가상화 태그(T1)에 할당되는 포트(P1, P2 및 P4)를 포함한다. 네트워크 포트(P3 및 P5)는 네트워크 포트의 제 2 세트(105)에 할당된다.FIG. 1A shows a schematic network setup that includes a first
도입부에서 기술된 바와 같은 네트워크 스위치(100)를 이용하여, 제 1 가상 네트워크(103)에 할당된 임의의 네트워크 포트(P1, P2 또는 P4)에 의해 수신된 각각의 데이터 패킷은 제 1 가상화 태그(T1)로 마킹되는 한편, 네트워크 포트(P3 및 P5)로부터 수신된 데이터 패킷이 제 2 가상화 태그(T2)로 마킹될 것이다. 반대로, 제 1 도는 제 2 가상화 태그(T1 또는 T2)로 마킹된 데이터 패킷은 비매칭 가상화 태그와 연관된 네트워크 포트를 통해 전달되지 않을 것이다.Using the
네트워크 셋업은 네트워크 포트(P1, P2 및 P3)에 접속되고 소스 어드레스(SA), 목적지 어드레스(DA), 및 수신기 어드레스(RA)를 각각 갖는 3개의 네트워크 노드(N1, N2 및 N3)를 포함한다. 주어진 예에서, 네트워크 노드(N1, N2 및 N3)는 스위치(100)에 접속된 컴퓨터이다. 일반적으로 임의의 유형의 네트워크 기기는 네트워크 포트(P1, P2 및 P3)에 접속될 수 있다. 또한, 라우터(109)는 외부 네트워크(108), 예를 들어, 인터넷에 접속된다.The network setup includes three network nodes N1, N2 and N3 connected to network ports P1, P2 and P3 and having a source address SA, a destination address DA and a receiver address RA, respectively. . In the given example, network nodes N1, N2 and N3 are computers connected to switch 100. In general, any type of network device may be connected to the network ports P1, P2, and P3. In addition, the
네트워크 노드(N1, N2 및 N3)는 네트워크 포트(P1 내지 P3) 자신에 의해 인가된 네트워크 태그(T1 또는 T2)를 판독하고, 세팅할 수 없거나, 혹은 달리 수동 조작할 수 없기 때문에, 예를 들어, 네트워크 노드(N3)로부터 네트워크 노드(N1 또는 N2)로 데이터 패킷이 직접 전송될 수 없다. For example, since the network nodes N1, N2, and N3 cannot read, set, or otherwise manually operate the network tags T1 or T2 authorized by the network ports P1 to P3 themselves. The data packet cannot be transmitted directly from the network node N3 to the network node N1 or N2.
어드레스 변환기(106)는 스위치(100)의 제 1 어드레스 변환기 포트(P4)에 대한 라우터(100)에 의해 제 1 가상 네트워크(103)에 접속된다. 또한, 어드레스 변환기(106)는 제 2 가상 네트워크(104)에 대한 제 2 어드레스 변환기 포트(P5)에 의해 접속된다. 주어진 예에서, 어드레스 변환기(106)는 외부 네트워크 어드레스 변환 NAT 디바이스이다. 그러나, 실제로, 어드레스 변환기(106)는 스위치(100)의 통합 부분일 수 있으며, 이 경우 제 1 및 제 2 변환기 포트(P4, P5)는 물리적 접속이 아니라 논리적 포트일 수 있다. 이러한 애플리케이션에 관해, 어드레스 변환기가 두 가상 네트워크(103 및 104)에서 데이터 패킷을 송수신할 수 있음이 충분히 이해될 것이다.The
제시된 예에 따르면, 네트워크 노드(N1)에 대해 사전 결정된 상태가 검출된다. 이러한 상태는, 예를 들어, 네트워크 노드(N1)의 바이러스(virus) 또는 웜 인펙션(worm infection), 네트워크 노드(N1)의 다른 부분적인 또는 완전한 오작동, 침입 방지 시스템(intrusion prevention system : IPS)일 수 있거나, 또는 네트워크 셋업을 재구성함으로써 응답될 수 있는 비정상적인 어드레스에 대한 요구나 고 또는 저 네트워크 트래픽과 같은 임의의 다른 상태일 수 있다. 물론, 예를 들어, 네트워크 행정자의 요구에 대해 이러한 상태를 수동으로 트리거하는 것이 또한 가능하다.According to the example presented, a predetermined state is detected for network node N1. Such a condition may include, for example, a virus or worm infection of network node N1, another partial or complete malfunction of network node N1, an intrusion prevention system (IPS). Or any other state, such as a request for an abnormal address or high or low network traffic, which may be answered by reconfiguring the network setup. Of course, it is also possible to manually trigger this condition, for example for the needs of the network administrator.
사전 결정된 상태의 모니터링은 노드(N1) 자체에 의해, 예를 들어, 바이러스 검출 프로그램 또는 성능 모니터에 의해, 네트워크 설비, 예를 들어, 스위치(100), 라우터(109) 또는 어드레스 변환기(106) 중 하나 이상에 의해, 또는 도 1(a)에 도시되지 않은 방화벽 또는 네트워크 성능 모니터와 같은 외부 디바이스에 의해 수행될 수 있다.The monitoring of the predetermined state is carried out by the node N1 itself, for example by a virus detection program or a performance monitor, among the network facilities, for example the
도 1(b)는 제 1 및 제 2 가상 네트워크(103 및 104)를 각각 포함하는 유사한 개략적인 네트워크 셋업을 도시한다. 도 1(a)에 도시된 구성에 비해, 도 1(b)에 도시된 셋업은 네트워크 노드(N1)가 제 2 가상 네트워크(104)에 속하도록 네트워크 노드(N1)가 접속되는 네트워크 포트(P1)가 제 2 가상화 태그(T2)에 할당된다는 점 에서 상이하다. FIG. 1B shows a similar schematic network setup that includes first and second
제 1 가상 네트워크(103)로부터 제 2 가상 네트워크(104)로 네트워크 노드(N1)를 논리적으로 이동함으로써, 사전 결정된 상태를 모니터링하여 검출된 위협이 방지될 수 있다. 본 예에서, 제 1 가상 네트워크(103)는 다른 네트워크 노드(N2) 또느 외부 네트워크(108)에 대한 완전한 액세스에 의한 생성 상태 가상 네트워크로 간주되는 한편, 제 2 가상 네트워크(104)는 다른 네트워크 리소스로의 제한된 액세스에 의한 분리 네트워크로 간주된다.By logically moving the network node N1 from the first
예를 들어, 네트워크 노드(N1) 상에서 바이러스 인펙션이 검출되는 경우, 네트워크 노드는 제 2 가상 네트워크로 신속하게 이동될 수 있어, 제 1 가상 네트워크(103)에 접속된 제 2 네트워크 노드(N2)의 인펙션을 방지한다. 마찬가지로, 네트워크 노드(N1)는 외부 네트워크(108)로부터 분리될 수 있어 네트워크 노드(N1)로부터 외부 네트워크(108)로 잠재적으로 분류된 정보의 전송을 방지한다.For example, if virus infection is detected on network node N1, the network node can be quickly moved to the second virtual network, so that the second network node N2 connected to the first
도 2는 어드레스 변환기(106)의 내부 셋업을 도시한다. 어드레스 변환기(106)는 제 1 가상 네트워크(103)에 할당된 제 1 변환기 포트(P4)와 함께 사용하기 위한 외부 어드레스(107)를 포함한다. 어드레스 변환기(106)의 모든 다른 내부 구성요소는 제 2 가상화 태그(T2)에 의해 제 2 가상 네트워크(104)의 어드레스에 할당되며, 이는 이들이 네트워크 포트의 제 2 세트(105)의 포트에 접속된 네트워크 노드에 대해 액세스 가능하다는 것을 의미한다.2 shows an internal setup of the
주어진 예에서, 어드레스 변환기는 HTTP, SMTP, POP3 및 IMAP와 같은 상이한 애플리케이션 레벨 프로토콜에 할당된 내부 프록시(204)를 포함한다. 프록시(204) 는 선택적으로 응답하거나, 또는 애플리케이션 요구를 고유한 프로토콜에 전송할 수 있다. 또한, 어드레스 변환기(106)는 패치(patch) 서버(205), 디스인펙션(disinfection) 서버(206) 및 재접속 이니시에이터(initiator)(207)를 포함한다.In the given example, the address translator includes an
패치 서버(205), 디스인펙션 서버(206) 및 재접속 이니시에이터(207)는 내부에 포함된 네트워크 노드에 대해 고유한 제 2 가상 네트워크(104)에 서비스를 제공하는데 사용될 수 있다. 예를 들어, 제 2 가상 네트워크(104)가 바이러스 또는 다른 유해한 프로그램에 의해 감염된 제 1 네트워크 노드(N1)를 분리하도록 사용되는 경우, 디스인펙션 서버(206)는 바이라스를 제거하는데 사용될 수 있고, 재접속 이니시에이터(207)가 디스인펙티드(disintected) 네트워크 노드(N1)를 제 1 가상 네트워크(103)로 다시 이동하도록 사용되기 이전에, 패치 서버(205)는 향후의 인펙션을 방지하기 위해 네트워크 노드(N1) 상에서 실행되는 소프트웨어에 대해 보안 업데이트를 인스톨하는데 사용될 수 있다.The
어드레스 변환기(106)는 어드레스 매핑 모듈(208)을 더 포함하며, 이 어드레스 매핑 모듈(208)은 제 1 가상 네트워크(103) 내의 어드레스 변환기(106)의 외부 어드레스(107)를 이용하여 제 2 가상 네트워크(104)의 네트워크 노드의 어드레스를 제 1 가상 네트워크(103)에 전송된 데이터 패킷과 연관시킬 수 있다. 예를 들어, 소위 네트워크 어드레스 변환 디바이스(network address translation : NAT)는 제 1 가상 네트워크(103)를 제 2 가상 네트워크(104)와 접속하는데 사용될 수 있다. 통상적으로, 네트워크 어드레스 변환 디바이스는 단지 하나의 외부적으로 가시적인 어드레스(107)를 이용하는 인터넷과 같은 외부 네트워크(108)와 사설 네트워 크(104)를 접속하는데 사용된다.The
어드레스 변환기(106)는 필터링 모듈(202) 및 인증 모듈(203)을 더 포함한다. 필터링 모듈(202)은 어드레스 매핑 모듈(208)에 의해 수행된 어드레스 매핑을 애플리케이션 또는 어드레스의 사전 정의된 세트로 리다이렉팅하는데 사용될 수 있다. 필터링은, 예를 들어, 요구 이전에 인증 모듈(203)에 제공된 사용자 명칭 및 패스워드를 검증함으로써, 특정한 요구의 인증에 따라 행해질 수 있다.The
어드레스 변환기(106)가 다수의 내부 프록시(204), 서버(205, 206 및 207), 및 다른 모듈(202, 203 및 208)을 포함한다 하더라도, 어드레스 변환기(106)는 스위치(100), 라우터(109) 또는 그 결합의 일부일 수 있다. 등등하게는, 어드레스 변환기(106)의 내부 구성요소(202 또는 208)는 하드웨어 또는 소프트웨어의 개별적인 유닛으로서 구현될 수 있다.Although the
도 3은 단일 네트워크 포트(P1)의 상태를 판정하는 유한 상태 머신(301)의 개략적인 상태도를 도시한다. 먼저, 네트워크 포트(P1)는 제 1 가상 네트워크(103)와 연관된 생성 상태(302)에 있다. 이 경우, 네트워크 포트(P1)에 접속된 노드(N1)는 제 1 가상 네트워크(103) 또는 외부 네트워크(108) 내의 다른 노드(N2)에 대해 완전한 액세스를 갖는다.3 shows a schematic state diagram of a
일단 웜 또는 바이러스 인펙션이 검출되면, 네트워크 포트(P1)는 상태 천이(305)에 의해 제 2 가상 네트워크(104)와 연관된 통지 상태(303)로 스위칭된다. 이 상태에서, 네트워크 노드(N1)의 사용자 또는 네트워크 행정자에게 인펙션이 통지될 수 있다.Once a worm or virus infection is detected, network port P1 is switched to
그 다음에 사용자 또는 행정자는, 예를 들어, 네트워크 노드(N1)가 제 1 가상 네트워크(103) 및 성공적인 인증에 대한 위협에 노출하지 않는 수동적인 검증 이후에, 상태 천이(307)에 의해 생성 상태(302)와 연관된 제 1 가상 네트워크(103)에 대해 재접속을 요구할 수 있다. The user or administrator then creates a state by
대안적으로 사용자 또는 행정자는 또 다른 상태 천이(306)에 의해 제 3 가상 네트워크와 연관된 고정 상태(304)로 전달되도록 요구할 수 있다. 소정 상태(304)에서, 네트워크 노드(N1)는, 예를 들어 디스인펙션 서버(206) 또는 패치 서버(205)에 대해 바이러스 인펙션을 제거하는데 사용된 서비스에 대한 액세스가 허여될 수도 있다. 패치를 인스톨하고 네트워크 노드(N1)로부터 바이러스 인펙션이 제거된 것으로 검증한 이후에, 제 1 가상화 태그는 포트 P1에 재차 할당되어 상태 천이(308)에 의해 제 1 노드를 생성 상태(302)와 연관된 제 1 가상 네트워크(103)로 리턴할 수 있다.Alternatively, the user or administrator may require that another
사전 결정된 상태를 모니터링하고 스위치(100)의 포트(P1 내지 P5)에 가상화 태그(T1 또는 T2)를 할당하는 상태 머신(301)을 이용함으로써, 다수의 가상 네트워크(103 및 104)가 용이하게 생성되고, 모니터링되며 구성될 수 있다. 따라서, 네트워크 노드(N1)는 상이한 가상 네트워크의 어드레스 공간이 호환 가능한 한, 네트워크 노드(N1) 자체에 대한 이동이 투명하도록, 하나의 가상 네트워크(103)로부터 다른 가상 네트워크(104)로 자동적으로 이동될 수 있다.By using a
이용 가능한 상태 천이는 상태에 의존하므로 상태 머신(301)d 내부에 있으며, 체크를 위한 사전 결정된 상태가 문맥 감지 방식으로 정의될 수 있다. 예를 들어, 통지 상태(303)와 연관된 가상 네트워크(104) 내에 이미 있는 네트워크 노드(N1)는 바이러스를 위해 더 이상 모니터링될 필요가 없다.The available state transitions are internal to the state machine 301d because they depend on the state, and a predetermined state for check can be defined in a context sensitive manner. For example, the network node N1 already in the
상태 머신(301)은 도 3의 간단한 예에서 도시된 바와 같이 유한일 필요는 없다. 특히 대형 네트워크에서 자율적인 에이전트는, 예를 들어, 단일 네트워크에 물리적으로 접속되는, 논리적으로 상관되지 않은 네트워크 리소스의 자동 분리를 위해, 새로운 상태 및 그에 따른 가상 네트워크를 자동적으로 정의하기 위해 사용될 수 있다. 이러한 자동 구성은, 예를 들어, 성능 최적화를 위해 또는 네트워크 보안성을 위해 사용될 수 있다.The
따라서 상태 머신(301)의 상태 및 상태 천이는 전체 네트워크의 구성을 인코딩하는데 사용될 수 있다.Thus, the state and state transitions of
도 4는 가상 네트워크를 작동시키는 제 1 방법의 실시예의 플로우차트이다. 제 1 단계(402)에서, 제 1 가상 네트워크(103)는 제 1 가상화 태그(T1)에 할당된 네트워크 포트의 제 1 세트(101)를 포함하고, 제 2 가상 네트워크(104)는 제 2 가상화 태그(T2)에 할당된 네트워크 포트의 제 2 세트(105)를 포함하며, 호환 가능한 어드레스 범위를 갖고, 그 내에서 패킷을 단지 전송하는 제 1 및 제 2 가상 네트워크(103 및 104)가 제공된다.4 is a flowchart of an embodiment of a first method of operating a virtual network. In a
제 2 단계(402)에서, 제 1 가상 네트워크(103) 내에 소스 어드레스(SA)를 가지며, 제 1 가상화 태그(T1)에 의해 제 1 가상 네트워크(103)에 할당된 제 1 포트(P1)에 작동 가능하게 접속되는 제 1 네트워크 노드(N1)가 제공된다. 예를 들어, 제 1 가상 네트워크(103)는 통상적인 동작 상태에 있는 모든 네트워크 노드(N1, N2)를 포함하도록 사용될 수 있다.In a
단계(403)에서, 사전 결정된 상태에 대해 제 1 네트워크 노드(N1)가 모니터링된다. 이러한 상태는, 예를 들어, 웜 또는 바이러스의 검출, 제 1 네트워크 노드(N1)로부터 또는 제 1 네트워크 노드(N1)로의 비정상적으로 높거나 혹은 낮은 네트워크 트래픽의 검출, 또는 오동작하는 제 1 네트워크 노드(N1)와 연관된 유사한 증후일 수 있다.In
단계(404)에서 이러한 상태가 검출되지 않은 경우, 단계(403)에서 제 1 네트워크 노드(N1)의 모니터링이 계속된다. 그러나, 이러한 상태가 단계(404)에서 검출되는 경우, 방법은 단계(405)로 계속된다.If no such condition is detected in
단계(405)에서, 제 1 네트워크 노드(N1)가 스위치(100)와 연관되는 네트워크 포트(P1)는 제 2 가상 네트워크(104)와 연관된 제 2 가상화 태그(T2)에 할당된다. 따라서, 제 1 네트워크 노드(N1)는 제 1 가상 네트워크(103)로부터 제 2 가상 네트워크(104)로 이동된다. 그러나, 제 1 네트워크 노드(N1)의 구성은, 동일하게 유지된다. 특히, 제 1 가상 네트워크(103)에서 사용된 제 1 네트워크 노드(N1)의 네트워크 어드레스(SA)는 제 2 가상 네트워크 노드(104)에서 또한 사용된다.In
제 2 가상 네트워크 노드(104)가 제 1 가상 네트워크(103)에 대해 호환 가능한 어드레스 구조를 잦는 경우, 제 2 가상 네트워크(104)로의 제 1 네트워크 노드(N1)의 스위치는 제 1 네트워크 노드(N1)에 대해 투명하다. 특히, 사전 결정된 어드레스(DA)와 연관된 유사한 서비스가 제 1 가상 네트워크(103)에 대해 이용 가능한 제 2 가상 네트워크(104)에 대해 이용 가능한 경우, 제 1 네트워크 노드(N1) 로부터 전송된 데이터 패킷에 포함되는 서비스 요구는 앞에서와 같이 제 2 가상 네트워크(104) 내에서 응답될 것이다.If the second
도 5는 가상 네트워크를 작동시키는 제 2 방법의 실시예의 플로우차트이다. 제 1 단계(501)에서 제 1 가상 네트워크(103) 및 제 2 가상 네트워크(104)가 제공된다. 이 단계는 전술한 단계(401)와 동일하다.5 is a flowchart of an embodiment of a second method of operating a virtual network. In a first step 501 a first
단계(502)에서 제 1 가상화 태그(T1)에 의해 제 1 가상 네트워크(103)에 할당된 제 1 변환기 포트(P4) 및 제 2 가상화 태그(T2)에 의해 제 2 가상 네트워크(104)에 할당된 제 2 변환기 포트(P5)에 작동 가능하게 접속되는 어드레스 변환기(106)가 제공된다.In
어드레스 변환기(106)는 스위치(100) 또는 라우터(109)와 같은 다른 네트워크 디바이스로 통합된 개별적인 하드웨어 유닛으로 구현될 수 있거나, 혹은 소프트웨어로 구현될 수 있다. 예를 들어, 어드레스 변환기(106) 또는 스위치(100)에 포함된 프로세스에 의해 실행 가능한 프로그램의 프로그램 인스트럭션을 구현하는 컴퓨터 판독 가능한 매체가 제공될 수 있다. 컴퓨터 판독 가능한 매체는, 예를 들어, CD-ROM, 플래쉬 메모리 카드, 하드 디스크, 또는 임의의 다른 적절한 컴퓨터 판독 가능한 매체일 수 있다.The
단계(503)에서, 제 2 가상 네트워크(104)의 제 1 변환기 포트(P1)에 접속된 송신기 노드(N1)는 목적지 어드레스(DA)를 갖는 패킷 헤더를 포함하는 데이터 패킷을 전송한다. 데이터 패킷은, 예를 들어, 도 1(b)에 도시된 바와 같이, 송신기 노드(N1)의 소스 어드레스(SA)로부터 제 2 네트워크 노드(N2)의 목적지 어드레스(DA) 로 전송될 수 있다.In
단계(504)에서 데이터 패킷은 송신기 포트(P1)에 의해 제 2 가상화 태그(T2)로 마킹된다. In
도 1(b)에 도시된 예에서, 제 2 네트워크 노드(N2)는 제 1 네트워크 노드(N1), 예를 들어, 생성 상태 가상 네트워크에 포함된다. 그러나, 송신기 노드(N1) 상에서 바이러스 인펙션이 검출된 이후에, 송신기 노드(N1)는 제 2 가상 네트워크(104), 예를 들어, 분리 네트워크로 이미 이동되었다.In the example shown in FIG. 1 (b), the second network node N2 is included in the first network node N1, for example the creation state virtual network. However, after virus infection on transmitter node N1 is detected, transmitter node N1 has already been moved to a second
그 경우에, 네트워크 노드(N1)가 접속되는 포트(P1)가 네트워크 포트의 제 2 세트(105)에 속하는 반면, 노드(N2)에 접속된 네트워크 포트(P2)가 동일한 세트(101 또는 105)에 포함된 포트 사이의 데이터 패킷을 단지 전송한 포트의 각각의 세트(101 및 105) 및 네트워크 포트의 제 1 세트(101)에 속함에 따라, 송신기 노드(N1)로부터 목적지 어드레스(DA)에 의해 어드레싱된 노드(N2)로의 데이터 패킷의 직접적인 전송은 불가능하다.In that case, the port P1 to which the network node N1 is connected belongs to the
단계(505)에서, 패킷 헤더의 목적지 어드레스(DA)를 갖는 목적지 노드(N2)가 제 2 가상 네트워크(104) 내에 포함되는지가 판정된다. 이러한 기능은, 예를 들어, 어드레스 변환기(106)에 의해 수행될 수 있다.In
단계(506)에서 목적지 어드레스(DA)가 제 2 가상 네트워크(104) 내에 포함되는 것으로 판정되는 경우, 다른 액션이 취해지지 않는다. 그 다음에 데이터 패킷은 통상과 같이 제 2 가상 네트워크(104) 내의 목적지 어드레스(DA)로 전송된다. 그러나, 도 1(b)에 도시된 바와 같이, 목적지 어드레스(DA)가 제 2 가상 네트워 크(104) 내에 포함되지 않는 것으로 판정되는 경우, 단계(507)에서 어드레스 변환기(106)는 데이터 패킷을 리다이렉팅한다. If it is determined in
데이터 패킷은 제 1 또는 제 2 변환기 포트(P4, P5)에 데이터 패킷을 전송함으로써, 또 다른 프로세싱을 위해 제 1 또는 제 2 가상 네트워크(103, 104)에 각각 포함되는 수신기 노드(N2, N3)로 리다이렉팅될 수 있다. 특히. 제 1 가상화 태그(T1)에 할당된 제 1 변환기 포트(P4)를 통해 데이터 패킷을 리다이렉팅함으로써, 데이터 패킷은 제 2 가상 네트워크(104)로부터 제 1 가상 네트워크(103)로 이동될 수 있다.The data packet is transmitted to the first or second converter ports P4 and P5, thereby receiving receiver nodes N2 and N3 respectively included in the first or second
따라서, 송신기 노드(N1)로부터 송신된 데이터 패킷은 상이한 가상 네트워크에 포함되는 수신기 노드(N2)로 전달될 수 있다. 그러나, 송신기 노드(N1)로부터 소정의 목적지 어드레스(DA)를 갖는 네트워크 노드(N2)로의 데이터 패킷의 전송이 너무 위함한 것으로 간주되는 경우, 예를 들어, 송시기 노드(N1)는 바이러스에 의해 감염되는 것으로 간주되므로, 데이터 패킷은 제 2 가상 네트워크(104)에 포함되는 다른 네트워크 노드(N3)로 리다이렉팅될 수 있다.Therefore, the data packet transmitted from the transmitter node N1 can be delivered to the receiver node N2 included in the different virtual network. However, if the transmission of the data packet from the transmitter node N1 to the network node N2 having the predetermined destination address DA is considered too dangerous, for example, the transmitter node N1 is caused by a virus. Since it is considered to be infected, the data packet can be redirected to another network node N3 included in the second
이것은 고유한 애플리케이션 서버에 대한 모든 요구가 고정 목적지 어드레스(DA)로 다이렉팅되는 경우 특히 용이한 방식으로 성취될 수 있다. 예를 들어, 제 1 가상 네트워크(103)는 HTTP(hyper text transfer protocol) 또는 제 1 소정의 목적기 어드레스(DA)에 따른 요구를 제공하는 네트워크 노드(N2)를 포함할 수도 있다.This can be accomplished in a particularly easy manner when all the requests for a unique application server are directed to a fixed destination address (DA). For example, the first
애플리케이션 프록시(204)가 동일한 목적기 어드레스(DA)에서 제 2 가상 네 트워크(104)에 포함되는 경우, 제 2 가상 네트워크(104)에 포함된 노드(N1)로부터 전송된 HTTP 요구는 애플리케이션 프록시(204)로 전송된다. 그 다음에 애플리케이션 프록시(204)는 수신된 요구를 제 1 가상 네트워크(103)에 포함된 실제의 네트워크 노드(N2)로 전송할지 또는 데이터 패킷을 상이한 수신기 어드레스(RA)로 리다이렉팅할지를 결정할 수 있다.When the
일반적으로 수신기 어드레스(RA)는 제 1 가상 네트워크(103) 내의 수신기 노드(N2), 제 2 가상 네트워크(104) 내의 수신기 노드(N3), 외부 네트워크(108) 내의 수신기 노드, 또는 어드레스 변환기(106)의 내부 수신기와 연관될 수 있다. 어드레스 변환기가 2개를 초과하는 가상 네트워크에 접속되는 경우, 물론, 수신기 노드는, 예를 들어, 다른 어드레스 변환기(106) 또는 라우터(109)를 통해 어드레스 변환기에 직접 쪼는 간접으로 접속된 임의의 가상 네트워크에 포함할 수 있다.In general, the receiver address RA may be a receiver node N2 in the first
특히 중요한 실시예에서, 데이터 패킷은, 예를 들어, 송신기 노드(N1)로부터 분리 네트워크로서 사용된 제 2 가상 네트워크(104) 외부의 임의의 네트워크 노드로의 바이러스 인펙션의 확산을 방지하기 위해 제 2 가상 네트워크(104)에 포함된 수신기 노드(N3)로 리다이렉팅된다.In a particularly important embodiment, the data packet may be stored, for example, to prevent the spread of virus infection from the transmitter node N1 to any network node outside the second
어드레스 변환기(106)의 프록시(204)에 포함되거나 또는 제 2 가상 네트워크(204)에 달리 접속된 특수 수신기 노드(N3)는 사전 결정된 결과를 송신기 노드(N1)로 리턴할 수 있다. 이러한 사전 결정된 결과는, 예를 들어, 송신기 노드(N1)의 사용자에게 바이러스에 의해 송신기 노드(N1)가 감염될 수도 있음을 알리는 경고 메시지를 포함할 수 있다. SMTP, POP3 또는 IMAP와 같은 다른 애플리케이 션 프로토콜에 대해 유사한 경고가 제공될 수도 있다. 그 대신에 이러한 경고 메시지는 사용자 또는 네트워크 행정자에 전송될 수도 있다.The special receiver node N3, included in the
대안적으로, 송신기 노드(N1)로부터의 요구는 필터링 모듈(202)에 의해 필터링될 수 있다. 데이터 패킷의 인증에 따라 다른 데이터 패킷이 고유한 네트워크 노드로 전송될 수 있다. 예를 들어, 인증 모듈(203)이 네트워크 행정자가 필요로 하는 특권을 갖는지를 검증하는 경우, 네트워크 행정자에 의해 인증된 데이터 패킷에 인코딩된 요구는 디스인펙션 서버(206) 또는 패치 서버(205)로 전송될 수 있다. 이러한 인증 없이 송신기 노드(N1)의 사용자로부터 발신되는 유사한 데이터 패킷은 필터링 유닛(202)에 의해 간단히 필터링될 수도 있다.Alternatively, the request from transmitter node N1 may be filtered by filtering
바이러스 인펙션인 경우 네트워크 노드(N1)를 분리하는 예를 이용하여 가상 네트워크를 작동시키는 방법이 기술되었으나, 상태 머신(301)에 의해 네트워크 노드(N1 내지 N3)를 다수의 가상 네트워크로 자동적으로 조직하기 위해 유사한 방법이 사용될 수 있다. 이러한 자동 구성은, 예를 들어, 성능 요건에 따른 네트워크 노드(N1 내지 N3)를 조직하기 위해 사용될 수도 있다.In the case of virus infection, a method of operating a virtual network has been described using an example of separating the network node N1, but the
본 발명의 사상으로부터 벗어나지 않고 당 분야에서 통상의 지식을 가진 자에게 본 실시예 및 상술한 방법의 다른 실시예가 명백할 것이다. 예를 들어, 본 방법은 WAN(wide area network)에서 유사한 장점이 있는 효과를 성취하기 위해 MPLS(multiprotocol lebel switching) 프로토콜에 적용될 수 있다.It will be apparent to those skilled in the art without departing from the spirit of the invention that this embodiment and other embodiments of the method described above will be apparent. For example, the method can be applied to a multiprotocol lebel switching (MPLS) protocol to achieve similarly beneficial effects in wide area networks (WANs).
도 1(a) 및 도 1(b)에 도시된 네트워크 셋업은 마찬가지로 단지 예시적이며 통상적으로 실제로는 보다 복잡하게 될 것이다. 예를 들어, 다수의 스위치(100)는 몇 개의 라우터(109), 어드레스 변환기(106) 또는 다른 네트워크 디바이스에 의해 접속될 수 있다. 가상 네트워크(103 또는 104)는, 몇 개의 물리적으로 개별적인 사이트, 예를 들어, 전역적인 회사 내부 네트워크의 상이한 LAN에 걸쳐질 수 있다.The network setup shown in Figures 1 (a) and 1 (b) is likewise merely exemplary and will typically be more complex in practice. For example,
참조 부호 리스트Reference list
100 : 스위치 100: switch
101 : 제 1 세트101: first set
103 : 제 1 가상 네트워크103: first virtual network
104 : 제 2 가상 네트워크104: second virtual network
105 : 제 2 세트105: second set
106 : 어드레스 변환기106: address translator
107 : 변환기 어드레스107: converter address
108 : 외부 네트워크108: external network
109 : 라우터109 router
202 : 필터링 모듈202: filtering module
203 : 인증 모듈203 authentication module
204 : 프록시204: proxy
205 : 패치 서버205: patch server
206 : 디스인펙션 서버206: Infection Server
207 : 재접속 이니시에이터207: Reconnect Initiator
208 : 어드레스 매핑 모듈208: address mapping module
301 : 상태 머신301: State Machine
302 : 생성 상태302: creation status
303 : 통지 상태303: notification status
304 : 고정 상태304: fixed state
305 내지 308 : 상태 천이305 to 308: state transition
401 내지 405 : 방법 단계401 to 405: method steps
501 내지 507 : 방법 단계501 to 507 method steps
DA : 목적지 어드레스DA: destination address
SA : 소스 어드레스SA: Source Address
RA : 수신기 어드레스RA: receiver address
N1 내지 N3 : 네트워크 노드N1 to N3: network nodes
P1 내지 P3 : 네트워크 포트P1 to P3: network port
T1 : 제 1 가상화 태그T1: first virtualization tag
T2 : 제 2 가상화 태그T2: second virtualization tag
Claims (11)
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP05112038.4 | 2005-12-13 | ||
EP05112038 | 2005-12-13 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20080093978A KR20080093978A (en) | 2008-10-22 |
KR100998418B1 true KR100998418B1 (en) | 2010-12-03 |
Family
ID=37908071
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020087015037A KR100998418B1 (en) | 2005-12-13 | 2006-12-12 | Methods for operating virtual networks, data network system, computer program and computer program product |
Country Status (8)
Country | Link |
---|---|
US (1) | US7908350B2 (en) |
EP (1) | EP1969777B1 (en) |
JP (1) | JP4886788B2 (en) |
KR (1) | KR100998418B1 (en) |
CN (1) | CN101326771B (en) |
AT (1) | ATE456890T1 (en) |
DE (1) | DE602006012095D1 (en) |
WO (1) | WO2007069194A1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101833714B1 (en) | 2016-11-29 | 2018-04-13 | 아토리서치(주) | Method, apparatus and computer program for processing packet of virtual machines |
Families Citing this family (42)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100531101C (en) * | 2007-10-22 | 2009-08-19 | 华为技术有限公司 | A method and device for realizing automatic allocation of end-to-end QinQ service label |
US8234377B2 (en) * | 2009-07-22 | 2012-07-31 | Amazon Technologies, Inc. | Dynamically migrating computer networks |
JP5678800B2 (en) * | 2011-05-23 | 2015-03-04 | 富士通株式会社 | Information processing apparatus, system, and information processing program |
US9432258B2 (en) | 2011-06-06 | 2016-08-30 | At&T Intellectual Property I, L.P. | Methods and apparatus to configure virtual private mobile networks to reduce latency |
US9106445B2 (en) * | 2011-06-16 | 2015-08-11 | Verizon Patent And Licensing Inc. | Virtual extended network |
US9386035B2 (en) * | 2011-06-21 | 2016-07-05 | At&T Intellectual Property I, L.P. | Methods and apparatus to configure virtual private mobile networks for security |
US9602404B2 (en) | 2011-08-17 | 2017-03-21 | Nicira, Inc. | Last-hop processing for reverse direction packets |
JP5870192B2 (en) * | 2011-08-17 | 2016-02-24 | ニシラ, インコーポレイテッド | Logical L3 routing |
US8867403B2 (en) | 2011-08-18 | 2014-10-21 | International Business Machines Corporation | Virtual network overlays |
US10044678B2 (en) | 2011-08-31 | 2018-08-07 | At&T Intellectual Property I, L.P. | Methods and apparatus to configure virtual private mobile networks with virtual private networks |
CN102316043B (en) * | 2011-09-29 | 2014-01-01 | 中国联合网络通信集团有限公司 | Port virtualization method, switch and communication system |
US8929255B2 (en) * | 2011-12-20 | 2015-01-06 | Dell Products, Lp | System and method for input/output virtualization using virtualized switch aggregation zones |
US10075470B2 (en) | 2013-04-19 | 2018-09-11 | Nicira, Inc. | Framework for coordination between endpoint security and network security services |
US10009371B2 (en) | 2013-08-09 | 2018-06-26 | Nicira Inc. | Method and system for managing network storm |
US9699070B2 (en) | 2013-10-04 | 2017-07-04 | Nicira, Inc. | Database protocol for exchanging forwarding state with hardware switches |
US9798561B2 (en) | 2013-10-31 | 2017-10-24 | Vmware, Inc. | Guarded virtual machines |
US10277717B2 (en) | 2013-12-15 | 2019-04-30 | Nicira, Inc. | Network introspection in an operating system |
US9369478B2 (en) | 2014-02-06 | 2016-06-14 | Nicira, Inc. | OWL-based intelligent security audit |
KR20150116182A (en) * | 2014-04-07 | 2015-10-15 | 삼성전자주식회사 | Method and apparatus for managing dns address |
US9648121B2 (en) * | 2014-05-27 | 2017-05-09 | Ravello Systems Ltd. | Source-destination network address translation (SDNAT) proxy and method thereof |
US20180062876A1 (en) * | 2015-03-13 | 2018-03-01 | Nec Corporation | Control apparatus, information processing apparatus, method for presenting virtual network, and program |
US9942058B2 (en) | 2015-04-17 | 2018-04-10 | Nicira, Inc. | Managing tunnel endpoints for facilitating creation of logical networks |
US10554484B2 (en) | 2015-06-26 | 2020-02-04 | Nicira, Inc. | Control plane integration with hardware switches |
US9967182B2 (en) | 2015-07-31 | 2018-05-08 | Nicira, Inc. | Enabling hardware switches to perform logical routing functionalities |
US10313186B2 (en) | 2015-08-31 | 2019-06-04 | Nicira, Inc. | Scalable controller for hardware VTEPS |
US10230576B2 (en) * | 2015-09-30 | 2019-03-12 | Nicira, Inc. | Managing administrative statuses of hardware VTEPs |
US9948577B2 (en) | 2015-09-30 | 2018-04-17 | Nicira, Inc. | IP aliases in logical networks with hardware switches |
US9979593B2 (en) | 2015-09-30 | 2018-05-22 | Nicira, Inc. | Logical L3 processing for L2 hardware switches |
US10263828B2 (en) | 2015-09-30 | 2019-04-16 | Nicira, Inc. | Preventing concurrent distribution of network data to a hardware switch by multiple controllers |
US10250553B2 (en) | 2015-11-03 | 2019-04-02 | Nicira, Inc. | ARP offloading for managed hardware forwarding elements |
KR101977726B1 (en) | 2015-11-17 | 2019-05-14 | 한국전자통신연구원 | APPARATUS AND METHOD FOR Virtual Desktop Services |
US9992112B2 (en) | 2015-12-15 | 2018-06-05 | Nicira, Inc. | Transactional controls for supplying control plane data to managed hardware forwarding elements |
US9917799B2 (en) | 2015-12-15 | 2018-03-13 | Nicira, Inc. | Transactional controls for supplying control plane data to managed hardware forwarding elements |
US9998375B2 (en) | 2015-12-15 | 2018-06-12 | Nicira, Inc. | Transactional controls for supplying control plane data to managed hardware forwarding elements |
WO2017157801A1 (en) * | 2016-03-17 | 2017-09-21 | Johann Schlamp | Constructible automata for internet routes |
US10182035B2 (en) | 2016-06-29 | 2019-01-15 | Nicira, Inc. | Implementing logical network security on a hardware switch |
US20180234535A1 (en) * | 2017-02-10 | 2018-08-16 | Mediatek Inc. | Method and apparatus for communication |
US10931568B2 (en) * | 2018-07-02 | 2021-02-23 | Hewlett Packard Enterprise Development Lp | Hitless maintenance of a L3 network |
US10680947B2 (en) * | 2018-07-24 | 2020-06-09 | Vmware, Inc. | Methods and apparatus to manage a physical network to reduce network dependencies in a multi-fabric virtual network |
JP2020108011A (en) * | 2018-12-27 | 2020-07-09 | 富士通株式会社 | Malware inspection support program, malware inspection support method, and communication device |
JP7364855B2 (en) * | 2019-05-24 | 2023-10-19 | 富士通株式会社 | Rogue device isolation device, rogue device isolation system, rogue device isolation program, and rogue device isolation method |
JP7470320B2 (en) * | 2020-01-08 | 2024-04-18 | 国立大学法人 名古屋工業大学 | Network Management Device |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6157647A (en) | 1996-11-06 | 2000-12-05 | 3Com Corporation | Direct addressing between VLAN subnets |
US6757286B1 (en) | 1997-03-24 | 2004-06-29 | Alcatel | Self-configuring communication network |
US20050058132A1 (en) | 2002-05-20 | 2005-03-17 | Fujitsu Limited | Network repeater apparatus, network repeater method and network repeater program |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5963556A (en) * | 1993-06-23 | 1999-10-05 | Digital Equipment Corporation | Device for partitioning ports of a bridge into groups of different virtual local area networks |
US5684800A (en) * | 1995-11-15 | 1997-11-04 | Cabletron Systems, Inc. | Method for establishing restricted broadcast groups in a switched network |
JP3384319B2 (en) * | 1998-03-27 | 2003-03-10 | 日本電気株式会社 | Virtual private network construction system |
US6937574B1 (en) * | 1999-03-16 | 2005-08-30 | Nortel Networks Limited | Virtual private networks and methods for their operation |
US7272643B1 (en) * | 2000-09-13 | 2007-09-18 | Fortinet, Inc. | System and method for managing and provisioning virtual routers |
US6847641B2 (en) * | 2001-03-08 | 2005-01-25 | Tellabs San Jose, Inc. | Apparatus and methods for establishing virtual private networks in a broadband network |
US7836205B2 (en) * | 2002-07-11 | 2010-11-16 | Hewlett-Packard Development Company, L.P. | Method and device for use with a virtual network |
US20040078471A1 (en) * | 2002-10-18 | 2004-04-22 | Collatus Corporation, A Delaware Corportion | Apparatus, method, and computer program product for building virtual networks |
US7715380B2 (en) * | 2003-06-19 | 2010-05-11 | Cisco Technology, Inc. | Apparatus and methods for handling shared services through virtual route forwarding (VRF)-aware-NAT |
US20050066035A1 (en) * | 2003-09-19 | 2005-03-24 | Williams Aidan Michael | Method and apparatus for connecting privately addressed networks |
JP2005165561A (en) * | 2003-12-01 | 2005-06-23 | Fujitsu Ltd | Network connection control program, network connection control method and network connection controller |
JP2005197815A (en) * | 2003-12-26 | 2005-07-21 | Japan Telecom Co Ltd | Network system and network control method |
JP2005217715A (en) * | 2004-01-29 | 2005-08-11 | Fujitsu Access Ltd | Layer 2 switch having vlan inter segment transfer function |
CN100505746C (en) * | 2004-02-07 | 2009-06-24 | 华为技术有限公司 | Method for implement virtual leased line |
JP3746782B2 (en) * | 2004-02-17 | 2006-02-15 | 日本テレコム株式会社 | Network system |
US7672314B2 (en) * | 2004-07-09 | 2010-03-02 | Cisco Technology, Inc. | Scaling VLANs in a data network |
US7411975B1 (en) * | 2004-08-26 | 2008-08-12 | Juniper Networks, Inc. | Multimedia over internet protocol border controller for network-based virtual private networks |
US7525969B2 (en) * | 2006-08-25 | 2009-04-28 | Cisco Technology, Inc. | NAT processing in a VRF environment |
-
2006
- 2006-12-12 KR KR1020087015037A patent/KR100998418B1/en active IP Right Grant
- 2006-12-12 US US12/097,349 patent/US7908350B2/en active Active
- 2006-12-12 EP EP06832212A patent/EP1969777B1/en active Active
- 2006-12-12 WO PCT/IB2006/054764 patent/WO2007069194A1/en active Application Filing
- 2006-12-12 CN CN2006800467065A patent/CN101326771B/en active Active
- 2006-12-12 JP JP2008545218A patent/JP4886788B2/en active Active
- 2006-12-12 AT AT06832212T patent/ATE456890T1/en not_active IP Right Cessation
- 2006-12-12 DE DE602006012095T patent/DE602006012095D1/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6157647A (en) | 1996-11-06 | 2000-12-05 | 3Com Corporation | Direct addressing between VLAN subnets |
US6757286B1 (en) | 1997-03-24 | 2004-06-29 | Alcatel | Self-configuring communication network |
US20050058132A1 (en) | 2002-05-20 | 2005-03-17 | Fujitsu Limited | Network repeater apparatus, network repeater method and network repeater program |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101833714B1 (en) | 2016-11-29 | 2018-04-13 | 아토리서치(주) | Method, apparatus and computer program for processing packet of virtual machines |
Also Published As
Publication number | Publication date |
---|---|
KR20080093978A (en) | 2008-10-22 |
US20090006603A1 (en) | 2009-01-01 |
CN101326771A (en) | 2008-12-17 |
CN101326771B (en) | 2010-09-15 |
EP1969777B1 (en) | 2010-01-27 |
JP2009519663A (en) | 2009-05-14 |
WO2007069194A1 (en) | 2007-06-21 |
US7908350B2 (en) | 2011-03-15 |
JP4886788B2 (en) | 2012-02-29 |
ATE456890T1 (en) | 2010-02-15 |
DE602006012095D1 (en) | 2010-03-18 |
EP1969777A1 (en) | 2008-09-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100998418B1 (en) | Methods for operating virtual networks, data network system, computer program and computer program product | |
Sahay et al. | The application of software defined networking on securing computer networks: A survey | |
US11811731B2 (en) | Packet classification for network routing | |
US20210344692A1 (en) | Providing a virtual security appliance architecture to a virtual cloud infrastructure | |
US11159487B2 (en) | Automatic configuration of perimeter firewalls based on security group information of SDN virtual firewalls | |
US11595250B2 (en) | Service insertion at logical network gateway | |
US10623309B1 (en) | Rule processing of packets | |
US20200076734A1 (en) | Redirection of data messages at logical network gateway | |
RU2562438C2 (en) | Network system and network management method | |
US8627313B2 (en) | Virtual machine liveness determination | |
EP3815312A1 (en) | Service insertion at logical network gateway | |
US20130347095A1 (en) | Isolation and security hardening among workloads in a multi-tenant networked environment | |
AU2021202517B2 (en) | Collecting and processing context attributes on a host | |
US20130132763A1 (en) | Network disruption prevention when virtual chassis system undergoes splits and merges | |
US11477165B1 (en) | Securing containerized applications | |
US9306959B2 (en) | Dual bypass module and methods thereof | |
US11956221B2 (en) | Encrypted data packet forwarding | |
EP3166262B1 (en) | Control device, control system, control method, and control program | |
US11711292B2 (en) | Pre-filtering of traffic subject to service insertion | |
US10931565B2 (en) | Multi-VRF and multi-service insertion on edge gateway virtual machines | |
CN114930776A (en) | Traffic mirroring in a hybrid network environment | |
Paradis | Software-Defined Networking |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20131025 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20141024 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20151027 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20161026 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20171026 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20191029 Year of fee payment: 10 |